Brinquedos sexuais inteligentes: onde os hackers se divertem

À medida que os dispositivos da Internet das Coisas (IoT) continuam a se popularizar e oferecem uma gama cada vez mais ampla de recursos, novas preocupações começam a surgir sobre a segurança dos dados processados por esses dispositivos. Embora tenham sido sujeitos a inúmeras violações de segurança que levaram à exposição dos detalhes de login, informações financeiras e localização geográfica das pessoas, entre outros, existem poucos tipos de dados com maior potencial para prejudicar os usuários do que aqueles relacionados às suas preferências sexuais e comportamento. O alerta foi dado nesta quinta-feira (11/3) por pesquisadores da empresa de segurança Eset, que publicaram um White Paper no site de sua comunidade de segurança WeLiveSecurity.

Segundo o relatório, com a enxurrada de novos modelos de brinquedos sexuais inteligentes disponíveis no mercado, o usuário pode pensar que há avanços no fortalecimento dos mecanismos que garantem as boas práticas no processamento de suas informações. No entanto, a pesquisa revelou falhas de segurança interessantes, derivadas tanto da implementação dos aplicativos que controlam os dispositivos, quanto do design desses dispositivos, afetando o armazenamento e o processamento das informações.

Como acontece com qualquer outro dispositivo IoT, existem certas ameaças à privacidade ao usar brinquedos para adultos habilitados para a Internet. Vulnerabilidades podem permitir que invasores executem códigos maliciosos no dispositivo ou façam bloqueios, evitando que o usuário envie qualquer comando para o brinquedo. Recentemente, foram divulgados casos reais envolvendo ataques de ransomware com o objetivo de travar cintos de castidade vulneráveis enquanto os dispositivos estão em uso e exigir que as vítimas paguem um resgate para destravar os aparelhos e se libertar.

Anatomia de um crime

Hoje em dia, dizem os pesquisadores da Eset, os brinquedos sexuais inteligentes apresentam muitos recursos: controle remoto pela Internet, chats em grupo, mensagens multimídia, videoconferências, sincronização com músicas ou audiobooks e a capacidade de se conectar com assistentes inteligentes, para citar alguns. Alguns modelos podem ser sincronizados para replicar seus movimentos e alguns outros são vestíveis.

Em termos de arquitetura, a maioria desses dispositivos pode ser controlada via Bluetooth Low Energy (BLE) a partir de um aplicativo instalado em um smartphone. O aplicativo é responsável por definir todas as opções no dispositivo e controlar o processo de autenticação do usuário. Para isso, ele se conecta a um servidor na Nuvem, que armazena as informações da conta do usuário. Em alguns casos, esse serviço de Nuvem também atua como um intermediário entre parceiros, usando recursos como chat, videoconferência e transferência de arquivos, ou mesmo fornecendo o controle remoto de seus dispositivos a um parceiro.

Esta arquitetura apresenta vários pontos vulneráveis, que podem ser usados para comprometer a segurança dos dados que estão sendo processados, com interceptação da comunicação local entre o aplicativo de controle e o dispositivo, entre o aplicativo e a Nuvem, entre o telefone remoto e a Nuvem, ou atacando diretamente o serviço baseado na Nuvem. Apesar de já terem sido submetidos ao escrutínio de muitos pesquisadores de segurança, a investigação da Eset demonstrou que esses dispositivos continuam a conter falhas de segurança que podem ameaçar a segurança dos dados armazenados, bem como a privacidade e até a segurança do usuário.

Como é possível imaginar, a sensibilidade das informações processadas por brinquedos sexuais é extremamente crítica: nomes, orientação sexual ou de gênero, listas de parceiros sexuais, informações sobre o uso do dispositivo, fotos íntimas e vídeos – todas essas informações podem ter consequências desastrosas se eles caem nas mãos erradas. Novas formas de “sextorção” aparecem no radar considerando o material íntimo acessível através dos aplicativos que controlam esses dispositivos.

Além das preocupações com a privacidade, os brinquedos sexuais inteligentes também não estão isentos da possibilidade de serem comprometidos por ciberataques. Em relação às vulnerabilidades no aplicativo de controle de um brinquedo sexual, um invasor pode assumir o controle do brinquedo, levando a ataques DoS (negação de serviço) que bloqueiam a entrega de qualquer comando ou um dispositivo que é transformado em arma para realizar ações maliciosas e propagar malware, ou mesmo um dispositivo deliberadamente modificado para causar danos físicos ao usuário, como sobreaquecimento.

Serviço
welivesecurity.com